Carte screditate.

Questo si chiama crossposting. Copia-e-incolla, via. Problemi? Provo solo a formattare diversamente.

Da qualche ora si inseguono titoloni riferiti a 40 milioni di carte di credito Mastercard a rischio. Tutto nasce da questo comunicato. Avendo qualche minuto ho deciso di dare un’occhiata ai comunicati stampa e fare due ricerche via internet.

Per quel che ne ho capito succede che CardSystems Solutions, Inc., ammette di aver riscontrato un primo avviso domenica 22 maggio e di aver di conseguenza contattato le autorità (FBI) il lunedì (perché solo il giorno dopo?). Quindi ha avvisato VISA e Mastercard ed iniziato a porre rimedio alla situazione, anche utilizzando una terza parte per controllare il sistema di sicurezza. Questo è quello che ammettono chiaramente nel comunicato stampa del 17 giugno. Quello che si capisce dalle altre fonti che hanno riferito dell’accaduto e’ che

  • la polizia gli ha chiesto di stare in silenzio
  • il problema riguarda Mastercard, VISA, American Express e Discover
  • il numero delle carte che processa Cardsystems pare essere di 40 milioni
  • Cardsystems violava le policy che prevedono il mero transito delle informazioni senza archiviazione locale.

Alla fine mi pare di aver capito che il furto delle informazioni (relative ai soli dati delle carte) sia avvenuto mediante un malware (script o virus che sia). Sarà solo un caso che Cardsystems utilizzi Windows 2000 con IIS 5.0 avvalendosi dei servizi di USA.NET, dichiaratamente per altro? USA.NET dichiara di essere un hosting provider con certificazione SAS 70-Type II, certificazione MS Gold e partecipante al programma “Microsoft Technology Adoption Program”…. Qualcuno saprà mai se ed ogni quanto tempo veniva verificata la sicurezza del sistema di e-commerce e transazioni on-line di Creditsystems? Troppo facile intervenire dopo un buco di questo genere. Troppo facile dire “i nostri clienti non hanno alcuna responsabilità, si limitino a tenere gli estratti conto sotto controllo”.